الصفحة الرئيسية>المتعلقة بالبرمجة>شفرة المصدر الأخرى
تنزيل

مخطط Twistlock Defender Helm (المجتمع)

مخطط Helm لنشر Twistlock Defender.

يمكن أن يعمل هذا المخطط مع مشغل الأسرار الخارجية المعتمد من CNCF لإدارة أسراره الداخلية.

ملحوظة

  • تم اختبار هذا المخطط باستخدام AWS Secrets Manager وAzure Key Vault كأنظمة إدارة سرية.

المتطلبات المسبقة

قم بتنزيل مخطط Helm من Prisma Cloud

للحصول على القيم المطلوبة لمخطط Helm هذا للعمل، قم بتنزيل مخطط Helm من Prisma Cloud Compute Console بالانتقال إلى Manage > Defenders > Manual Deploy وحدد المعلمات التالية:

  • طريقة النشر: منسق

  • نوع المنسق: Kubernetes أو Openshift

ستختلف جميع الإعدادات الأساسية والمتقدمة الأخرى وفقًا للبيئة الخاصة بك.

بمجرد اختيار الخيارات المناسبة لك، قم بتنزيل مخطط الخوذة:

helm-download.png

سيتم تسمية الملف الذي تم تنزيله باسم Twistlock-defender-helm.tar.gz . داخل هذا المجلد المضغوط، تحتاج إلى استخراج الملف value.yaml الذي سيساعد كمرجع للنشر.

التعامل مع الأسرار الخارجية (اختياري)

لتخزين الأسرار المتعلقة بنشر المدافع في نظام إدارة الأسرار، استخدم العملية التالية:

تثبيت مشغل الأسرار الخارجية

قم بتثبيت مشغل الأسرار الخارجية بالأوامر التالية

 هيلم الريبو إضافة أسرار خارجية https://charts.external-secrets.io
قم بتثبيت الأسرار الخارجية، الأسرار الخارجية/الأسرار الخارجية -n الأسرار الخارجية - إنشاء مساحة الاسم

لمزيد من التفاصيل بخصوص التثبيت، تابع دليل البدء.

قم بإنشاء ClusterSecretStore أو SecretStore

اتبع الدليل المقابل لتثبيت SecretStore أو ClusterSecretStore حتى يتمكن مشغل الأسرار الخارجية من استرداد الأسرار. يستخدم هذا المخطط ClusterSecretStore بشكل افتراضي نظرًا لعدم وجود مرفق بمساحة الاسم حيث يتم نشر المدافع. لتغييره إلى SecretStore، قم بتعيين القيمة التالية في ملف value.yaml الخاص بك:

 متجر_سري:
                                   النوع: SecretStore

إنشاء سر

قم بإنشاء السر بتنسيق JSON التالي:

 {"SERVICE_PARAMETER": "service_parameter"، "DEFENDER_CA": "defender_ca_cert"، "DEFENDER_CLIENT_CERT": "defender_client_cert"، "DEFENDER_CLIENT_KEY": "defender_client_key"، "ADMISSION_CERT": "admission_ cert"، "ADMISSION_KEY": "admission_key"، "INSTALL_BUNDLE"، "install_bundle"، "WS_ADDRESS": "ws_address"، "REGISTRY_USER": "registry.user"، "REGISTRY_PASS": "registry.password"، "REGISTRY" :"اسم التسجيل"}

يجب عليك استبدال القيم بالقيم المقابلة لنشر المدافع الخاص بك.

بالنسبة لـ Azure Key vault، يتعين عليك تعيين نوع المحتوى على application/json .

القيم من SERVICE_PARAMETER حتى WS_ADDRESS هي القيم التي يمكن العثور عليها في ملف القيم. yaml لمخطط القيادة الذي تم تنزيله من Prisma Cloud مسبقًا.

إذا كنت تستخدم سجل Defender العام، فيجب أن تكون قيم تكوين السجل كما يلي:

  • التسجيل:registry.twistlock.com

  • REGISTRY_USER: أي من اختيارك

  • REGISTRY_PASS: رمز الوصول المستخدم لتنزيل الصورة

لمزيد من التفاصيل حول كيفية تنزيل صور الحاوية، اتبع وثائق Prisma Cloud Container Images.

تثبيت

التكوين الافتراضي

التكوين الافتراضي هو ما يلي:

 Collect_pod_labels: true # يسمح لمجموعة مساحة الاسم وتسميات النشر بأن تكون جزءًا من التسميات المكتشفة في حسابات Prismamonitor_service_accounts: true # يسمح بمراقبة حسابات خدمة k8sunique_hostname: true # Assings Unique hostnameshost_custom_compliance: false # تعطيل الامتثال المخصص للمضيفين

يمكن العثور على جميع الإعدادات الافتراضية الأخرى في ملف value.yaml.

قيم

التثبيت بدون أسرار خارجية

فيما يلي أبسط نموذج موصى به للقيم.yaml بدون أسرار خارجية:

 اسم_الصورة:registry.twistlock.com/twistlock/defender:defender_<VERSION>التسجيل:الاسم:registry.twistlock.comاسم المستخدم:twistlockpassword: <ACCESS_TOKEN># Secretsservice_PARAMETER: <YOUR_SERVICE_PARAMETER>defender_ca_cert: <YOUR_DEFENDER_CA>defender_client_cert: <YOUR_DEFENDER_CERT>defender_client_key: <YOUR_DEFENDER_KEY>admission_cert: <YOUR_ADMISSION_CERT>admission_key: <YOUR_ADMISSION_KEY> install_bundle: <YOUR_INSTALL_BUNDLE>ws_address: <YOUR_WS_ADDRESS>

يمكن الحصول على قيمة رمز الوصول في اسم الصورة عند تنزيل مخطط الدفة. يجب أن تكون القيمة بجانب tw_ .

يمكنك أيضًا استبدال اسم الصورة وتفاصيل التسجيل في حالة استخدام سجل خاص.

التثبيت بأسرار خارجية

فيما يلي أبسط نموذج موصى به للقيم.yaml مع الأسرار الخارجية:

 اسم_الصورة:registry.twistlock.com/twistlock/defender:defender_<VERSION>secret_store:الاسم: <YOUR_SECRETSTORE_NAME>مفتاح_بعيد: <YOUR_SECRET_NAME>

نشر الطيار الآلي GKE

بالنسبة لعمليات النشر في GKE Autopilot، يلزم تعيين القيمة التالية:

 gke_autopilot_annotation: 'autopilot.gke.io/no-connect: "صحيح"'

نشر OpenShift

بالنسبة لعمليات النشر في OpenShift، قم بتعيين القيم التالية:

 openshift: trueselinux_header: 'seLinuxOptions:'selinux_options: 'type: spc_t'

بما في ذلك مراقب القبول

لتضمين وحدة تحكم القبول يجب عليك تضمين القيم التالية:

 Defender_ca_cert: <YOUR_DEFENDER_CA>admission_path: <YOUR_ADMISSION_PATH>

يمكن الحصول على هذه القيم من Prisma Compute Console بالانتقال إلى إدارة > المدافعون > الإعدادات

أمر التثبيت

لتثبيت الإصدار الأحدث، قم بتنفيذ الأمر التالي:

 ترقية هيلم - تثبيت -n تويستلوك -f value.yaml - إنشاء مساحة الاسم - ريبو https://paloaltonetworks.github.io/twistlock-defender-helm تويستلوك-ديفيندر تويستلوك-ديفيندر

لتثبيت إصدار محدد قم بتنفيذ الأمر التالي:

 ترقية هيلم - تثبيت -n تويستلوك -f قيم.يامل - إنشاء مساحة الاسم - ريبو https://paloaltonetworks.github.io/twistlock-defender-helm - الإصدار <VERSION> تويستلوك-ديفيندر تويستلوك-ديفيندر
يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل